Компания Core Security Technologies выпустила бесплатный межсетевой экран (http://force.coresecurity.com/index.php?module=base&page=about) для Windows 2000/XP построенный на базе портированного из OpenBSD пакетного фильтра PF (http://www.openbsd.org/faq/pf/).
URL: http://force.coresecurity.com/index.php?module=base&page=about
Новость: http://www.opennet.ru/opennews/art.shtml?num=6682
Хм. Качаю, и буду пробовать...
Пока что лучше чем IPFW ничего не надыбал....
Pf очень хорош, и главное очень легко читается, в отличае к примеру от iptables.
Жаль под линукса нет :(
Зря вы так про iptables. Очень понятный синтаксис, все легко читается и легко правится. А вот в отношении PF я то же сказать не могу (хотя возможно тут причина в том, что я с ним толком не разбирался,может если разобраться он тоже покажется простым.)
наверное существует 2 типа людей - которые понимают синтаксис iptables и которые не понимают его.. я наверное ко второму отношусь..а вот в синтаксис pf помню "въехал" практически сразу
Попробуйте IPFilter. Очень похож на PF (PF, на самом деле, "вырос" из IPFilter'а). Последние версии уже поддерживают Linux, правда не на всех дистро сборка проходит гладко.
окромя iptables
вот бы его портанули...
Ну и зря!
Под offtop переносить вещи, и тем самым губить *BSD
Ну почему же сразу губить?
Вы ставите ОпенБЗДю только ради ПФ?
Что, офтоп избавтся от всех проблем, связанных с размазонностью
кода вообще (и кода ядра в частности) с устанокой ПФ-а?
Я вот на брандмауэр винду поставлю только в случае крайней необходимости
или под угрозой расстрела :)
А вот нормальный пакетный фильтр на винде - это гуд.
Сколько можно со стандартным убожеством встроенным мучится?
А мучаться как раз и не надо, ставьте OpenBSD и не мучайтесь.
Исходники закрыты, и на то что это порт PF - это только успокоение души :). Командной строки нету, тока гуй... С тем же успехом можно пользоваться агнитумом или аутпостом. Работает это пока нестабильно тем более.
Agnitum - это фирма, которая выпустила Outpost. Учите матчасть перед тем, как постить.
>Исходники закрыты, и на то что это порт PF - это только
>успокоение души :). Командной строки нету, тока гуй... С тем же
>успехом можно пользоваться агнитумом или аутпостом. Работает это пока нестабильно тем
>более.Это где Outpost работает нестабильно ?
Версия 2.6 - очень хорошо
Версия 3.0 - тоже хорошо
Вот 2.7 не стоит брать - это точно
Пробую скачать данную штуку качает 800-1000байт в секунду с сервера огранизации котороя занимается безопастностью (притом с разных мест пробовал),
Интерестно PF у них также будет работать ???
У меня скачалось на ~32kbps :)
> У меня скачалось на ~32kbps :)
Выложи куда нить, поближе exСССР
URL тафай, выложу :)
http://www.webfile.ru/upload
ну дык ссылка рабочая появится тут или нет?
Звиняй, просто http://www.webfile.ru/
Можно скачивать http://webfile.ru/707305
Уже убиди :( скачать нельзя :(
Скачал, поставил, не хрена непонял причём
тут OpenBSD. Наверно только идея осталась. :)
Кстати относительно портов UINX на Windows,
и конкретно Iptables, есть наша прекрасная
штуковина LAN2NET называется http://www.lan2net.ru)
Так и пишут, что содрали с iptables.
GPL violation?
>GPL violation?Lan2Net - БОТВА violation, это особая лицензия
BSD?
where's src?
А он же не GPL, он под Apache License
Интересно как он себя поведет на leak тестах. Будет ли определять dll инъекции и др.
Попробовал. "4+". На "5" надо фильтровать IPX пакеты, а оно не могет.
а оригинальный pf разве может IPX фильтровать? :-)
Все-таки, что лучше для *BSD?
Все хвалят PF, но юзают IPFW...
>Все-таки, что лучше для *BSD?
>Все хвалят PF, но юзают IPFW...PF наверно получше будет, но я использую по привычке ipfw - переучиваться некогда.
За PF явное будущее, за IPFW не говоря уже о IPF будущего судя по всему нет, пока система сильно не усложнилась лутше начинать изучать ее уже сейчас.
А кому-то удалось VPN настроить ?
У меня сложилось впечатление что он сыроват, так, слегка. Например только попытки с 10 соединить VPN он вообще заметил что я это пытаюсь сделать и спросил усновить ли правило для исходящих - установил, хорошо в сторону провайдера вроде пустило, а вот с обратной стороны ни в какую, вроде и сам правило создавал и через его лог разрешал - ноль эмоций, соединение зависает на этапе проверки логина\пароля.
Аналогично. Так и не смог его заставить работать с PPTP, c PPPoE вначале было все ок, потом тоже начались проблемы.
Пока фтопку.
Так в винде (w2k, xp, w3k) уже есть свой встроенный пакетный фильтр.
В local security policy находится.
>Так в винде (w2k, xp, w3k) уже есть свой встроенный пакетный фильтр.
>
>В local security policy находится.А конкретнее - где именно - в каком разделе ?
>>Так в винде (w2k, xp, w3k) уже есть свой встроенный пакетный фильтр.
>>
>>В local security policy находится.
>
>А конкретнее - где именно - в каком разделе ?Немного переврал. Давно туда не смотрел ;)
Local Computer Policy -> Computer Configuration -> Windows Settings -> Security Settings -> IP Security Policies(это на PDC, AD. А на обычном ПК должно быть где-то поближе)
Он конечно не stateful и его настройка не совсем понятна с 1-го раза, но лучше чем ничего. Юзаем (PDC, AD), пока нормально.
Также в настройках сетевого интерфейса можно настроить TCP/IP filtering. Ну, и в xp, w3k есть свой, корявый FW.
сдаецца мне мне, что "-> IP Security Policies" - это настройка IPSec
>сдаецца мне мне, что "-> IP Security Policies" - это настройка IPSec
>
В общем - да, но не только.
Читать "Проблемы создания персонального файрвола в Windows 2000 с помощью IPSec" здесь
http://timhome.hut.ru/security/security.htm
(ближе к концу), там есть ссылка
http://www.3dnews.ru/communication/firewall2000xp/
на это дело.
>Так в винде (w2k, xp, w3k) уже есть свой встроенный пакетный фильтр.
>
>В local security policy находится.
Не только там.
Win+R -> cmd
netsh
help
netsh firewall
helpДя большинства стандартных задач его, в общем-то, хватает. Для маршрутизаторов и веб-серверов, имхо, не слишком адекватное решение, но для пользовательских машин - вполне достаточно.
Что касательно pf под винду - от pf там тольо движок остался, скорее всего. Вся сетевая подсистема и прочие вещи - уже не юниксовые, а виндовые, что вполне определенным образом сказывается. Нативный (для винды написаный) фаервол, имхо, куда лучше этой поделки будет. Вот если бы они вместе с фаерволом еще и всю сетевую подсистему OpenBSD портировали под винду - тогда да, круто было бы. А так - ровным счетом ничего интересного. Чистый маркетинг (это ж, блин, с йууууникса, с опенбсд! это ж крутизна и l33t!) и ничего более. Тем более, что неизвестно что за рожки да ножки там реально от pf остались, ведь исходники-то эти благодеятели зажали.
>>Так в винде (w2k, xp, w3k) уже есть свой встроенный пакетный фильтр.
>>>>В local security policy находится.
>Не только там.
>netshЭто тоже самое только вид сбоку.
netsh ipsec static add policy ...
netsh ipsec static add filterlist ...
и т.д.>netsh firewall
В w2k такого нет.
>Дя большинства стандартных задач его, в общем-то, хватает. Для маршрутизаторов и веб-серверов,
>имхо, не слишком адекватное решение, но для пользовательских машин - вполне достаточно.
>Конкретно для внутренних файловых серверов тоже достаточно.
>Что касательно pf под винду - от pf там тольо движок остался,
>скорее всего. Вся сетевая подсистема и прочие вещи - уже не
>юниксовые, а виндовые, что вполне определенным образом сказывается. Нативный (для винды
>написаный) фаервол, имхо, куда лучше этой поделки будет. Вот если бы
>они вместе с фаерволом еще и всю сетевую подсистему OpenBSD портировали
>под винду - тогда да, круто было бы. А так -
>ровным счетом ничего интересного. Чистый маркетинг (это ж, блин, с йууууникса,
>с опенбсд! это ж крутизна и l33t!) и ничего более. Тем
>более, что неизвестно что за рожки да ножки там реально от
>pf остались, ведь исходники-то эти благодеятели зажали.
Мама моя, чуши-то сколько! Уважаемый! Первое: а что Вы назваете "нативный"? Разве этот PF исполняется в какой-то из subsystems? Он posix? os/2? или может даже win16? :) Запишите себе: PF - нативнее некуда. Второе: для Вас, видимо, большим секретом является то, что общеизвестно - Microsoft давно уже осознала, что нет смысла городить свой tcp/ip protocols stack, если весь мир (кроме пингвинятников, разумеется) считает BSD'шный эталоном. И именно на нём и базируется нынешняя "сетевая подсистема" (в части tcp/ip) Windows. И неплохо базируется, надо отметить. Третье: а исходники любого (ipfw/IPFilter/PF) Вам недоступны? Или квалификации не хватает, чтобы там хоть что-нибудь понять? Громкое слово "движок" (engine) слабо сюда походит, тут Вам не игрушки, а FSM для пакетного фильтра - штука примитивная, далеко не главная, и на "движок" слабо тянет. Так что "маркетингом" (а точнее - самоPRом "смотрите, как я много знаю") пропитано не сообщение о порте PF2Win, а Ваше послание.
>Мама моя, чуши-то сколько! Уважаемый! Первое: а что Вы назваете
>"нативный"? Разве этот PF исполняется в какой-то из subsystems?
>Он posix? os/2? или может даже win16? :) Запишите себе:
>PF - нативнее некуда.На основе PF не так давно разрабатывалось небольшое расширение, в чем я принимал участие. С внутренностями PF я знаком вовсе не понаслышке. Прямого порта PF на винду, без переписывания кучи кода - быть не может. А кто и что там напереписывал - еще вопрос, ибо разработчикам PF я вполне склонен верить, зная их достаточно неплохое качество кода, а вот в то, что там напрогала какая-то левая контора - оснований верить нет, особенно с учетом наличия отсутствия исходников их порта.
>Второе: для Вас, видимо, большим секретом является
>то, что общеизвестно - Microsoft давно уже осознала, что нет смысла
>городить свой tcp/ip protocols stack, если весь мир (кроме >пингвинятников, разумеется)
>считает BSD'шный эталоном. И именно на нём и базируется нынешняя
>"сетевая подсистема" (в части tcp/ip) Windows. И неплохо базируется, >надо отметить.Нет, это, видимо, для вас является секретом, что Микрософт уже давным давно активно переделывает BSD-шный стек под свои нужды. От оригинала там уже мало что осталось.
>Третье: а исходники любого (ipfw/IPFilter/PF) Вам недоступны?
Речь идет не о исходниках оригинального фаервола, а о исходниках сабжевого. Читайте внимательнее.
>Или квалификации не хватает, чтобы там хоть что-нибудь понять?
Квалификации хватает и на то, чтобы понять и на то, чтобы на основе этого что-то разрабатывать.
>Громкое слово "движок" (engine) слабо сюда походит, тут Вам не игрушки, а FSM
>для пакетного фильтра - штука примитивная, далеко не главная, и на
>"движок" слабо тянет. Так что "маркетингом" (а точнее - самоPRом
>"смотрите, как я много знаю") пропитано не сообщение о порте PF2Win,
>а Ваше послание.Ну а вы, я так понимаю, великий разоблачитель и почетный Супермен, Бэтмен и Человек Икс всея рунета? ;-) Ваше сообщение, по сути, является примерно тем же самым, чем мое, на которое вы ответили. Поэтому все свои притензии вы легко и свободно можете адресовать себе. Другими словами - возражайте по существу, аргументировано. Обвинять же других в пустом сотрясании воздуха, когда сам его впустую сотрясаешь - мне кажется, несколько несуразно.
скоро придется портировать ядро OBSD, на Window$,
для полной картины :)
Это, скорей рекламный ход - анонсировать "порт PF". Компания использовала наработки PF (и то, возможно -- иногда легче переписать, чем портировать).
Исходников нет, и какую часть исходников они взяли, неизвестно. Скорей всего, после какого то признания со стороны пользователей, сей продукт будет платным.
Даже управления из коммандной строки нету, какой же это нахрен порт ? :)
Так же все производители файрволов могут кричать что они там в аутпосте или зоналарм портировали что то. Код закрыт, но там вот внутрях PF или IPTABLES, крута :)
По поводу IPSec-Политики бубнового: изначально он предназначен для создания безопасных шифруемых соединений, но если указать что пускать весь тарфик нешифрованным получается неплохой пакетный фильтр, проверено, держится, конфижится..
По поводу портирования: только за, в конце концов бубноводам пора с чего-то начинать и переходить на взрослые системы для реализации надежных решений.
Сам люблю фрю.. хотя я еще не гуру в ней, но думаю что при желании и усилиях стану им скоро.
лично я хотел бы видеть в этих фаерах такие функции, как rdr, nat, dNAT, sNAT итд. Без этого под винду много хороших продуктов, более удобных и функциональных.